石油化工行業安全檢測技術的實踐

時間:2022-02-21 09:23:45

導語:石油化工行業安全檢測技術的實踐一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

石油化工行業安全檢測技術的實踐

摘要:隨著數字經濟在能源化工行業的重要性不斷增強,網絡安全成為企業數字轉型的基本保障,在軟件定義一切的技術大趨勢下,其安全性嚴重影響著企業的數據和業務的安全,從實戰化和體系化的角度,安全左移既是攻防兩端戰術發展的需要,也是企業降低因軟件安全缺陷造成安全事件影響以及后期修復成本的需要,本文根據實際工作經驗結合國際領先的Gartner魔力象限報告,分析應用程序檢測領域的各種技術優勢和發展趨勢,為企業在建立DevSecOps體系時提供參考。

關鍵詞:應用安全;數字化能力;代碼審計;交互式應用安全檢測

近年來,中國石化嚴格落實國家“三化六防”的總體要求,并以科技力量全面推動全集團網絡安全體系建設,完善集團網絡安全頂層設計,開展實戰化內部攻防演練,落實網絡安全等級保護2.0新標準,持續建設提升網絡安全綜合防范體系,全集團網絡安全整體防護水平取得長足進步。在集團公司數字化轉型的大背景下,信息系統的穩定性和安全性將對轉型戰略的產生有深度的影響,在國家工業互聯網白皮書中,將安全和平臺、網絡共同定義為工業互聯網的基礎。云計算、大數據、軟件定義更加凸顯信息系統的“軟實力”的比重越來越高,因此軟件的安全性在整體安全體系中的重要性愈發突出。提升應用程序的安全水平,在開發測試階段盡可能多地發現軟件安全漏洞,將代碼錯誤,邏輯缺陷消滅在系統上線之前,實現安全防線“左移”,是落實“三化六防”要求的重要舉措。網絡安全市場碎片化情況嚴重,賽迪、IDG和Gartner等研究機構的調研報告就成為用戶了解技術和選擇產品的參考渠道之一,在應用安全檢測領域,Gartner的魔力象限是歷時較長,也較權威的技術、產品和市場競爭力分析的綜合性報告,通過歷年報告持續分析,對應用檢測技術發展和石化應用需求適配形成了較為良性的互動。

1中國石化應用系統安全的控制機制

中國石化信息化起步早,發展周期長,產業涉及勘探、煉化、銷售等完整的上中下游鏈條,數據中心遍布全國和海外,應用系統包括經營、生產、銷售、金融、客戶、工程、科技的方方面面,內部人員能力參差不齊,外部供應鏈多樣且復雜,攻擊暴露面多,作為能源行業,網絡安全事件影響大,經過多年網絡安全體系建設,在基礎設施防護方面建立了較為齊備的縱深防御體系,但應用和數據安全依然面臨著較大的風險。中國石化為加強信息系統全生命周期的安全管理,規范信息系統上線/驗收安全檢查流程,及時發現和消除信息系統存在的安全隱患,消除或降低信息系統的安全風險,保障信息系統安全穩定運行,根據《中國石化信息安全管理辦法》、《中國石化信息安全監督檢查實施細則》,特制定《信息系統上線/驗收安全檢查工作規范》,此工作規范為應用系統安全的紅線或者底線,結合信息安全“三同步”要求,實現應用的生命周期安全管控。信息系統上線/驗收安全檢查工作由各單位信息化管理部門負責組織實施。信息化管理部門組織成立信息系統上線/驗收信息安全檢查組,檢查組嚴格執行有關管理規范和技術標準對信息系統進行全面、細致的檢查工作。信息系統上線/驗收安全檢查工作共分為五個階段,分別是準備階段、調研階段、現場檢查階段、整改階段以及檢查收尾階段。在這5個階段中,一些是管理控制相關內容,比如申請表,自查表,系統定級情況等,一些是技術檢查相關內容,比如安全基線,系統漏洞檢查,應用漏洞檢查,對于重要應用,多類型的應用安全檢測成為必查項目。現場檢查是應用系統安全重點階段,其工作包括人員訪談、配置核查、資料查閱、漏洞掃描、滲透測試等方式。檢查內容包括但不限于以下內容:安全配置檢查、滲透性安全測試和漏洞掃描。(1)安全配置檢查是指檢查系統各項配置是否符合等級保護或基線的要求,即各安全策略是否得到實現。其檢查范圍包括網絡層面、主機層面、應用層面及數據層面。(2)滲透性安全測試是從信息系統的外部或內部進行模擬滲透性攻擊測試,主要測試信息系統對內外部風險暴露的脆弱性。(3)漏洞掃描是指利用掃描工具對信息系統的安全脆弱性進行自動化檢查。漏洞掃描包含主機掃描和應用掃描。各項技術性檢測就需要依靠系統平臺支撐完成相應的檢測和閉環管理工作。

2應用程序安全檢測技術分類

隨著基礎網絡安全防護體系的日益完善,直接通過網絡層或者系統層漏洞完成攻擊操作愈發困難,而應用面向交易和面向用戶的屬性,無法采用網絡的方式屏蔽暴露面,因此攻擊者可以通過合法和開放界面實現攻擊目的,尤其云計算、大數據和基于軟件定義技術的發展,基于API接口方式的應用廣泛,應用層攻擊更加普遍,據Gartner預測,到2023年,90%的Web應用程序將以API而非用戶界面(UI)的形式受到更多的攻擊,而這一數據在2020年是50%。到2022年,API濫用將從不常見的攻擊轉變為最常見的攻擊,從而導致企業Web應用程序的數據泄露。可以看出在Web攻擊中針對API的攻擊將占據主流。面對占據主流地位的應用攻擊,相應的應用安全檢測技術也在不斷發展,根據檢測技術特點和應用場景,主要的應用安全檢測技術有如下三種:

2.1靜態應用安全檢測(SAST)技術

即通常所說的代碼審計,是一種分析應用程序源代碼、字節碼或者二進制代碼的技術,目的是發現存在的安全漏洞,適用于軟件生命周期(SDL)開發、測試階段。石化盈科目前在部分項目中會采用此種方式用以加強開發和測試階段的代碼級安全漏洞的發現和加固。例如總部集中部署的部分智能工廠應用。其優點在于發現更多的代碼級漏洞,比如硬編碼缺陷或者溢出級漏洞,不足之處在于漏洞報告數量眾多,是否具有利用價值需要專業人員評判和檢驗。

2.2動態應用安全檢測(DAST)技術

即通常所說的應用安全檢測或者掃描,DAST模擬黑客手法,對應用程序(常見的對象是基于Web技術的應用程序和服務)進行仿真攻擊,通過分析應用程序的對于攻擊負載的反應,結合攻擊特征庫,確定是否存在應用漏洞。適用于測試或運維階段分析處于運行狀態的應用程序。這是最常見的應用程序檢測方式,在總部部署系統需要在上線階段和驗收階段完成此類檢測,高中風險漏洞須整改才能獲得相應部門的簽字,這也是外部測評機構的必測內容。其優點是操作簡單,而且是業界通用的檢測方式,在滿足合規方面是必選項,而且以攻擊的角度檢驗應用的安全性,經過良好配置的檢測報告具有較高的參考價值。

2.3交互式應用安全檢測(IAST)

該技術同時結合了SAST和DAST的技術特點,不像DAST只是通過網絡流量中應用的響應進行攻擊判定,也不像SAST需要獲得源代碼,它通常在測試運行環境中部署代理來觀察操作或攻擊并識別漏洞。石化盈科系統集成事業部開發研制的云安全檢測平臺可以看作是采用類似技術的安全檢測產品。其優點在于可以檢測到一些純黑盒方式無法識別的安全漏洞,例如業務邏輯缺陷,同時也在檢測深度和速度上具有比較大的靈活性,同時與白盒技術相比,其漏洞可被利用的可信度更高,誤報率相對較低。隨著供應鏈攻擊事件的快速增長,開源軟件的漏洞也列入了應用安全檢測范疇,軟件組合分析(SCA)技術用于識別應用程序中使用的開源和第三方組件及其已知的安全漏洞,SCA在經歷過幾年的不溫不火之外,目前也呈現快速上升的趨勢,以前作為代碼審計類產品的功能組件,目前有些廠家推出了獨立的產品,也許在不遠的將來,會作為單獨的技術產品進行評測。應用安全檢測傳統上是按照產品模式交付的,在云計算大行其道的當下,越來越多的廠商傾向于采用訂閱服務的方式,其優勢在于降低一次投入成本,促進成交,同時也加強用戶黏性,實現長期合作的目的,也減少傳統交易模式下的維保和軟件更新的客戶困擾。其缺點是不適用于國內用戶的采購習慣和采購規程,因此在國內尤其是石化企業中推廣困難。

3應用安全主流供應商特點分析

在2021年的魔力象限中,老牌廠商依然占據了主要位置,說明這個產業對于技術積累還是有一定要求的,同時一些代碼托管平臺借助著Devops的優勢出現在不同象限中,展現出業務發展的需求和趨勢,還有一些產品跌出了象限,以及有些產品換了新東家,雖然應用安全檢測需求很旺盛,但市場并不大,這些年一些新勢力加入,市場競爭激烈程度有所加強。榜單產品中選擇在國內主要是石化行業應用較多的產品進行綜合分析,有些產品的主要市場不在國內,暫不做介紹。

3.1HCLSoftware

其實就是IBM的應用安全旗艦產品Appscan,前幾年售賣給HCL,其DAST是安全測評機構、安全團隊和安全人員的必備工具,和HP的fortify同為元老級的應用安全檢測工具。在2020年的魔力象限中可能是因為換了新東家,暫時失去領導者地位,今年重回領導者象限,但與業界領先者的差距還是較大。HCL繼承了IBM產品線全的特點,解決方案包括SAST,DAST和IAST,也分別提供標準版和企業版,而且通過Asoc提供SaaS服務,此外通過ICA和IFA技術,提高了檢測速率和降低了誤報率,但是IBM沒有SCA,其企業版通過和BD集成完善此部分功能。IAST的能力和其他競爭對手相比尚未得到認可。在石化行業,Appscan的動態檢測技術引入時間長,檢測范圍廣,其完整性和權威性還是有保障的,但是IBM產品優勢和劣勢都在于產品過“重”,其功能的大而全在效率上就不是特突出,而且所謂的整體解決方案意味著技術之間的耦合性較強,要實現IBM描繪的完整功能藍圖可能需要采用從開發環境、集成系統和檢測平臺的整套方案。

3.2MicroFocus

又是一個長著新面孔的老朋友,MicroFocus收購了HP的安全檢測產品線,將Webinspect和Fortify納入麾下。在應用檢測方面,HP的基礎比IBM更深厚,產品全,品牌認知度更高,除了具備自己的SCA外,也能和BD集成,DevInspect做得比較成熟、開發過程集成度較高。HP將此業務轉讓給MicroFocus,從絕對的領頭羊地位跌落,目前雖然還處于第一象限,但和HCL一樣,相對落后了,用戶普遍反映配置復雜、學習量大、易用性較差。在實測過程中,Fortify還是偏重與客戶端部署,與云端服務的發展趨勢不是很一致,當然客戶端部署有其優越性,其檢測功能也依然強大,但從石化信息化發展“一切應用上云”的要求來看,顯得有些跟不上節奏。

3.3Checkmarx

來自以色列,但凡來自這個國家的產品,讓人又喜又恨,喜的是技術的確非常好,而且抓住一個點能做得很深很細,恨的是市場一般,找支持找服務比較難。Checkmarx的sast做得非常強,可能是目前支持語言種類最多的產品,不像其他的主要支持Java或者.Net.Checkmarx有一套完整的SDLC工具集和devops方案,包括代碼庫、編譯系統、bug追蹤、IDE和QA測試工具,通過周期循環和并行機制,其檢測效率較高,而且配置簡單,學習難度較小。其缺點在于只做SAST,DAST是和Rapid7合作聯盟,也沒有IAST和RASP,其余WAF集成聯動只支持ModSecurity,對象不是很多。在實戰中,Checkmarx的服務化做得較好,可以比較簡單地實現多租戶管理,應該可以通過二次開發實現與石化智云平臺的集成,補充完善云安全服務目錄。其增量檢測的技術也有效地降低了工作負載和檢測時長,適合企業級的應用安全管理。但是在功能上對于配置類的安全檢測結果不如Fortify完整全面。

3.4Synopsys

中文名字叫新思,是個專做測試的企業,在中美貿易戰中,屬于技術禁用的企業之一,在軟硬件檢測領域具有很強的實力,安全的檢測市場進入時間不長,Synopsys的Coverity是代碼管理工具中C/C++掃描功能最強、誤報最少的軟件。新思來自美國加利福尼亞的山景城,近年來在AST領域發力,陸續收購了多家AST公司,將自己的排名從第四象限直接拉升到第一象限,這些收購包括:Cigital、Codiscope、Codenomicon、Converity、Protecode等,使其具備了IAST、SAST和SCA的較完整的支撐能力。Sysnopsys的強項之一在IoT領域,支持廣泛的IoT相關協議,比如XMPP、MQTT、CoAP、AMQP,除了檢測之外,安全的IDE也是開發安全管理的一個重要環節,可以在代碼輸入階段做語法檢查。工作原理并不復雜,檢測規則或者知識庫是其核心能力,這個就要看公司實力和積累了。Synopsys的問題在于北美區域之外的市場影響力不足,還有大量收購后的各類產品如何整合都需要進一步觀察,此外,不提供本地部署的DAST可能會在對一些安全控制敏感的組織選擇時產生一定影響。從其他一些新上榜的企業或者產品也可以看出一些技術發展的趨勢,例如Github、Gitlab的上榜,提供AST作為其更廣泛的DevOps平臺的一部分。它們在自己的工作流程中整合了商業或開源掃描軟件,可以為平臺用戶提供SAST和DAST服務。利用平臺優勢,還為SCA提供依賴掃描。在GitLab的安全功能模塊中還包括機密管理、容器掃描的開源掃描功能和許可證合規性檢查,非常適合使用其平臺進行持續交付并需要嵌入應用軟件安全檢測工作流程的組織。

4結束語

在2020年之前,綠盟(Nsfocus)作為唯一的國內代表占據榜上的一席之位,現在的榜單已經全部被國外品牌占據,其實從Gartner所作的技術發展趨勢分析中可見一斑,對于api、容器、云原生應用的檢測成為重要的考核指標,國外的老牌廠商延續了自身深厚的研發功力,迅速完成了產品的更新迭代,形成了完整的解決方案,而國內老牌檢測企業則尚未跟上這一變化,這不僅是檢測技術研究的落后,也是整體應用場景覆蓋不全,反而倒是一些小而新的安全企業專門針對新興需求開發出了相應的產品,但其又缺乏歷史積累,沒有形成整體解決方案,另外還有一些互聯網廠商根據自身需求,在引進或者開源的基礎上,開發出了適合需要的工具,但并未形成成熟產品輸出到市場。我們可以看到,應用安全檢測市場的一些國外老牌廠商已經在此細分領域耕耘了多年,也不斷開發出不同的產品功能和提供了適應技術發展的業務模式,隨著安全防線左移需求的不斷加強,作為最接近核心資產“數據”的應用程序,其安全性將愈發重要,也必將需要更好的安全產品去應對復雜安全環境,提升組織應用的縱深安全防護水平。

參考文獻:

[1]劉遠.石油化工行業網絡安全運營的探索與思考[J].中國信息安全,2019(8).

[2]何金棟.Web應用安全檢測工具的設計和實現[J].通訊世界,2016(23).

[3]DaleGardner,MarkHorvath.MagicQuadrantforApplicationSecurityTesting,Published27May2021.

[4]聽云.解讀GartnerMQ(1)丨一文讀懂:讓微軟、華為“折腰”的Gartner魔力,2020-03-05.

[5]索亮.對主流掃描工具漏洞檢測能力的測試與分析[J].信息安全與技術,2010(06).

[6]高秋燕.基于高校的網絡安全檢測與防護[J].電子世界,2021(01).

[7]邊鋒.Web應用安全漏洞“一掃光”[J].中國計算機用戶,2007(24).

[8]Synopsys:DevSecOpspracticesandopen-sourcemanagementin2020,NetworkSecurity,2020-12-01.

作者:孫笑慶 單位:石化盈科信息技術有限責任公司